Ha fruttato quasi 700.000$ la truffa che è stata perpetrata con l’account X (ex Twitter) di Vitalik Buterin, il co-fondatore di Ethereum.
Sebbene l’account sia stato di fatto bloccato dopo poche ore dall’hack, è bastato un singolo post dei truffatori per incassare molte centinaia di migliaia con un giveaway di NFT.
Summary
L’account di Vitalik Buterin e la truffa quasi milionaria
Buterin a dire il vero non è un grande frequentatore dei social network.
Ad esempio, prima dell’hack di domenica il suo ultimo tweet risaliva addirittura al 16 agosto, seguito da un retweet il 6 settembre.
Basti dire che dopo aver recuperato l’accesso al suo account Buterin non ha ancora twittato nulla, e non ha nemmeno cambiato la bio modificata dai truffatori.
Anche sul suo blog personale, Vitalik.ca, Buterin non è molto attivo, con poco più di un post al mese.
L’account X del celeberrimo co-fondatore di Ethereum ha quasi cinque milioni di follower, risultando così essere uno degli account crypto personali con più follower. Ad esempio Michael Saylor, che è attivo quasi tutti i giorni, si ferma a poco più di tre milioni, ed il compianto John McAfee si fermava a 1,1 milioni.
Il fatto è che Buterin comunica spesso con un altro strumento, Warpcast, scelto non a caso ieri per comunicare di aver recuperato il suo account su X.
Warpcast è un client per Farcaster, un protocollo decentralizzato che supporta diverse dApp. Nello specifico Warpcast è una dApp di Farcaster con cui è stato creato un social network decentralizzato simile a Twitter.
L’hack
Stando a quanto dichiarato da Buterin su Warpcast, i truffatori sono riusciti ad entrare sul suo account X grazie ad un attacco di tipo SIM swap.
In altre parole sono riusciti ad entrare in possesso di un clone della SIM del suo telefono cellulare, e con quella sono riusciti ad utilizzare il processo di recupero della password via cellulare per riuscire ad accedere.
Infatti, Vitalik si è lamentato sia del fatto di aver dovuto fornire a X un numero di telefono, sia di averlo poi lasciato attivo.
Non è noto, invece, come abbiano fatto gli hacker a conoscere il suo numero di telefono, e come siano riusciti a recuperare un clone della sua SIM.
Va però evidenziato come questo tipo di attacchi sono sempre più comuni, ed a quanto pare l’unica soluzione è disattivare il recupero via SMS della password dell’account, o disabilitare del tutto il numero di telefono sull’account.
La truffa tramite l’account di Vitalik Buterin
Una volta recuperato l’accesso al profilo X di Buterin ai truffatori è bastato pubblicare un unico tweet.
Il tweet ovviamente sembrava essere stato pubblicato da Buterin in persona, ed è per questo che molti ci sono cascati.
In quel tweet Buterin consigliava in modo praticamente esplicito di richiedere uno specifico NFT in regalo.
Il fatto che si trattasse di un tweet illegittimo si poteva intuire sia perchè Buterin molto difficilmente promuove degli NFT (probabilmente non lo ha mai fatto), sia perchè nella bio dell’account compariva una scritta anomala che riconduceva ad un token appena creato.
In altre parole era abbastanza evidente che si trattasse di un tentativo di truffa, ma molte persone ci sono cascate lo stesso.
Il bottino
Il tweet malevolo conteneva un link che veniva descritto come quello al sito da cui potevano essere ritirati gli NFT gratuiti.
Una volta cliccato su quel link veniva avviata una procedura che portava i truffatori ad impadronirsi anche dell’accesso ai wallet dei malcapitati.
Secondo alcune stime in totale sarebbero stati rubati in questo modo circa 691.000$.
In particolare sono stati rubati degli NFT della collezione CryptoPunk.